排除Umbrella报告中提供的常见DNS请求类型故障
简介
本文档介绍可以收集并在报告中列出的DNS请求类型。在DNS基础设施中,每种记录类型都有其各自的用途。当考虑DNS时,首先想到的记录类型是A记录,它是属于域主机名的IPv4 IP地址。
注意:此列表绝不是详尽无遗的。 有关更完整的列表(包括每种记录类型的相关RFC),请参阅以下内容:https://en.wikipedia.org/wiki/List_of_DNS_record_types
关于阻止的安全域,请注意,Cisco Umbrella阻止了A、AAAA、ANY、CNAME、PTR、SRV、PRIVATE、SPF/DNS、NULL、SIG、HTTPS(类型65)和TXT记录,因此即使类别被阻止,也允许查询其他记录类型(MX、SOA和NS)。 但是,对分类为“DNS隧道VPN”的域的MX记录的请求将被拒绝。
Umbrella报告中的“允许”安全类别
Cisco Umbrella致力于DNS安全。强制实施能够促进恶意连接(例如,A/AAAA)或隧道流量(TXT、SRF等)或允许绕过标准DNS(Type65等)的DNS记录类型。某些作为引用记录的记录类型(如MX、SOA、NS)即使在安全类别中进行标记的情况下也允许。如果您认为未阻止的记录类型应被阻止,请通过umbrella-support@cisco.com与我们联系。我们监控新的威胁类型,以确保能够传递恶意连接的所有记录都得到执行,而不会阻止阻止阻止域所有权或邮件服务器上信息请求的请求类型。
要验证“允许”恶意软件请求是否由于备用记录类型请求,请打开活动搜索并添加DNS记录类型列。这在报告方面是透明的,并不表示保护失败或覆盖范围差距。
对于内容过滤类别,AAAA和A记录以外的类型不会被阻止。目标列表也不会阻止所有记录类型,例如NS不会被阻止。
要在活动搜索中查看请求的记录类型,请切换“DNS类型”列。
如果域为“阻止”,则查询地址记录类型A和AAAA将返回属于Umbrella阻止页面的IP地址。 DNS记录类型ANY、CNAME、PTR、SRV、SIG或TXT的查询会返回“REFUSED”。 (注: 当查询分类为动态DNS的域时,会阻止地址记录类型A和AAAA,但对其他DNS记录类型的查询不会返回"REFUSED"。)返回"REFUSED"的类型完整列表如下:3-5、7-10、12、16、30、33、38、64、65、99、245、253、255、65280-65534。
例外:
- DNS隧道域“阻止”所有记录类型。
- 动态DNS类别我们仅阻止A/AAAA记录
DNS查找类型和功能
|
DNS查找类型 |
描述 |
功能 |
|---|---|---|
| A | IPv4地址记录 |
返回32位IP地址,通常将域的主机名映射到IP地址,但也用于DNSBL和存储子网掩码 |
| AAAA | IPv6地址记录 |
返回将域主机名映射到IP地址的128位IP地址 |
| ANY | 所有缓存记录 |
如果域未被阻止,则Umbrella会将NOTIMP返回到此类型的请求。 |
| CNAME | 规范名称记录 |
一个名称到另一个名称的别名:dns查找继续使用新名称重试查找 |
| MX | 邮件交换记录 |
将域名映射到该域的邮件传输代理列表 |
| NS | 名称服务器记录 |
委派DNS区域以使用指定的授权域名服务器 |
| PTR | 指针记录 |
指向仅返回名称的规范名称的指针,用于实施反向DNS查找 |
| SIG | 签名 |
签名记录 |
| SOA | 授权记录的开始 |
指定有关DNS区域的授权信息,包括主域名服务器、域管理员的电子邮件、域序列号以及与刷新区域相关的多个计时器 |
| SRV | 服务定位器 |
广义服务位置记录,用于较新的协议,而不是创建协议特定记录,如MX |
| TXT | 文本记录 |
承载额外的数据,有时是人工可读的,大部分时间机器可读的,如机会加密、DomainKey、DNS-SD等。 |
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
26-Aug-2025
|
初始版本 |
反馈